Worm.Sobig.F - 200 maili na dzien! :O pomocy!

od 2 dni dostaje conajmniej 200 maili na dziej zainfekowanych tymze wirusem
jest to obledne i nie nadazam z kasowaniem

pytalem na mks.com.pl czy jest mozliwosc zidentyfikowania nadawcy, oto odpowiedzi (2!!!):
1) Praktycznie nie ma takiej mozliwosci.
2) Tak, mozesz sprawdzic naglowek listu,
i szukac tam linii zaczynajacych sie od
Received:

no wiec zrobilem co trzeba, wyniki (tylko z tych 2)

Received: from 213-35-175-119-dsl.prn.estpak.ee (HELO ANNABELL) (213.35.175.119)
Received: from 80-235-63-151-dsl.trt.estpak.ee (HELO KODU) (80.235.63.151)

kumpel ma dokladnie to samo od tego samego momentu co ja i te same Received ma.
teraz pytanie: czy ten host prawdziwy, czy wirus go sobie wybiera (ludzie z mksa mi nie pomogli) - pytanie o techniczne mozliwosci
czy dzieki temu IP/host jestem w stanie cokolwiek wiecej zrobic? dorwac w jakis "cudowny sposob" jego mail, zeby mu powiedziec zeby sie wyleczyl, czy jakikolwiek inny sposob

moze macie jakies propozycje


PS. korzystam z komercyjnej skrzynki z antywirem, "odsysaniem" spamu itd. wiec szkoda by mi bylo z niej rezygnowac

No jak komercyjna skrzynka z antyvirem to coś dziwnie że tych maili nie skanuje. Wersja F tego worma ma szczepionki od 3 dni (w MKSie) - pewnie inne znaczące produkty się trochę spóźnią

Teoretycznie szansa na namierzenie jest mała. worm losuje nadawce z listów w skrzynce i z książki adresowej.

Natomiast pole received From oznacza server SMTP przez który to badziewie było wysyłane. Przypuszczam że korzysta z ogólnie dostepnych SMTP wytypowany przez autora wirusa.

Jak masz zmyślny program pocztowy możesz próbować je usuwać przed przeczytaniem za pomocą filtra.

spoko wszyscy tego doswiadczamy, przez ostatnie 2 dni dostawalismy z kavoo duzo takich maili z tym wirusem z netii, zadzwonilem tam i zjeb***m jak psa adminow zeby zrobili z tym porzadek, podalem im nawet stanowisko AWINIEWSKA2 i IP komputera mimo, ze to nie ja jestem adminem ich sieci tylko oni, a i tak zajelo im kilka godzin nim pani Wisniewska przestala wysylac wirusy

MCViper w outlooku bierzesz prawym na mailu > wlasciwosci > zrodlo i tam masz wszystko ladnie podane, jak uda ci sie dotrzec do tego kogos za granica masz pecha to powodzenia, a jak nie to niestety antywir ci pozostaje

p.s. antywirusowy/spamowy filtr na serverze linuxowym u mnie wylapuje tego wirusa i maile z nim i nic nie przechodzi, na windzie norton antywirus takze go od razu usuwa, mozesz tez zadac regula kasowania poczty z severa wg reguly tematu, na mks masz opisane 10 przykladowych tematow z jakim zawsze ten wirus przychodzi "Your receipt" itp


EDIT

Maxym nie plec korzysta z tego SMTP co jest zdefiniowany w outlooka wiec bardzo latwo go namierzyc po SMTP i nawet dokladne ip i stanowisko wczoraj doszedlem skad zostal wyslany

tzn. skrzynka komercyjna z anty-wirem wykrywa i przerzuca mi to do katalogu imap INBOX.Wirus
dostaje tylko maila z informacja o tym
uzywam TheBat 2.0 beta3 jednak sa pewne problemy z imapem w Bacie z ktorymi sobie poradzic nie moge (pytalem juz na polskiej newsgrupie thebat'a)
problem polega na tym ze bat nie potrafi sobie dodac podkatalogu INBOX.Wirus, bo rzekomo chce go otworzyc, co powoduje probe utworzenia tegoz folderu na serwerze, a serwer nie pozwala, no bo ten katalog juz jest
TheBat w zaden sposob nie wykrywa mi tch folderow, bo gdyby to robil, to bym sobie filterek zrobil i bylby spokoj, a tak musze recznie usuwac, bo mi sie skrzynka zapycha

Richie napisał:

MCViper w outlooku bierzesz prawym na mailu > wlasciwosci > zrodlo i tam masz wszystko ladnie podane, jak uda ci sie dotrzec do tego kogos za granica masz pecha to powodzenia, a jak nie to niestety antywir ci pozostaje

no zakladajac ze te dane co podalem wyzej, to wypada ze estonia
w taki wypadku chyba moge "psinco" zrobic

Richie napisał:

p.s. antywirusowy/spamowy filtr na serverze linuxowym u mnie wylapuje tego wirusa i maile z nim i nic nie przechodzi, na windzie norton antywirus takze go od razu usuwa, mozesz tez zadac regula kasowania poczty z severa wg reguly tematu, na mks masz opisane 10 przykladowych tematow z jakim zawsze ten wirus przychodzi "Your receipt" itp

no jak napisalem wyzej anty-wir na serwerie mi to wypaluje przepakowuje do IMAPa, niestety nie mam mozliwosci zrobienia tak, zeby usuwal (auto-del jest po 5 dniach, po tylu bym juz 50 razy skrzynke zapchal)
inaczej sie nie da, a jak juz pisalem BAT mi nie daje mozliwosc pelnych (takich jakich bym sobie zyczyl)

Richie napisał:

Maxym nie plec korzysta z tego SMTP co jest zdefiniowany w outlooka wiec bardzo latwo go namierzyc po SMTP i nawet dokladne ip i stanowisko wczoraj doszedlem skad zostal wyslany

jak? nauczysz mnie?

Richie nie dam sobie głowy uciąć bo nie analizowałem kodu robaka.
Info podałem za http://www.mks.com.pl/baza.html?show=description&id=2425
Zreszta bez sensu jakby było inaczej bo tego rodzaju wirusy od dawna losują adresy na pola FROM. Dowolny SMTP tez nie zadziala. Chociażby dlatego że jak SMTP nie ma openrelay'a to nie wysle maila z dowolnym polem FROM.

MOzliwe że robak najpierw sprawdza SMTP zdefiniowany w programie pocztowym a dopiero potem korzysta ze swojego.

Maxym pleciesz coraz glebiej, a Pana Sella wymysly jak wirusy na Linuxa ok 20 juz wymyslil po to zeby sprzedac antywira na takze ten system mi nawet nie przytaczaj pliz , a pleciesz znow tu:

>Chociażby dlatego że jak SMTP nie ma openrelay'a to nie wysle maila z dowolnym polem FROM.

co ma relaying do pola FROM w ogole? demon np. sendmail sprawdza czy ma relayingowac czy nie po IP lub/i domenie sieci, z ktorej wysylasz, anie zadne FROM, FROM to masz dla odbiorcy laika zeby wiedzial kto wyslal

dowod/przyklad:

mail FROM piotr@oblicki.com

server X bada wg ciebie domene oblicki.com lub caly email? nonsens

sprawdza skad mail zostal wyslany czyli

mail FROM piotr@oblicki.com
sent by 32.323.23.56 bleble.sdi.tpnet.pl

tpnet.pl - is OK wiec wysylam, jak nie OK to nie wysylam i tyle, FROM niema nic wspolnego, a robak wysyla przez SMTP bo juz dwoch rozsylaczy namierzylem i unieszkodliwilem telefonami ( po ICH smtp), no ale na szczescie nie wysylali do mnie nic z Estonii

to moze ktos poda standardowe nazwy topicow tych mailow.
ja narazie automatycznie wywalam, wszystkie co maja w topicu wicked screensaver. moze jakies inne powtarzajace sie nazwy sa ?

Greg, straszny wysiłek kliknąć na link który podałem wyżej (do mks'a)

dobra podam gotowca mam dzis przyply uczynnosci dla leniow

Ostatnio nastapil wzmoznony atak roznej masci wirusow. Jezeli dostajesz dziwne e-mail\'e z ponizszymi tematami :

* Re: Details
* Re: Approved
* Re: Re: My details
* Re: Thank you!
* Re: That movie
* Re: Wicked screensaver
* Re: Your application
* Thank you!
* Your details


sciagnij FIX :

http://securityresponse.symantec.com/avcenter/FixSbigF.exe

thnx richie, ale jak juz chyba pisalem nie jestem zarazony
ktos mi to po prostu non stop sle i tyle
a nie wiem kto

o boze.. jak to nie wiesz kto to przeciez poalem ci gdzie sprawdzic kto to! a ty nawet podales dokladnie kto to z Estonii, nie rozumiem czego jeszcze nie wiesz???

thx, Richie. fixa na razie nie potrzebuje bo bezposrednio z serwera wywalam wszystkie maile...

Richie napisał:

o boze.. jak to nie wiesz kto to przeciez poalem ci gdzie sprawdzic kto to! a ty nawet podales dokladnie kto to z Estonii, nie rozumiem czego jeszcze nie wiesz???

dokladnie? no to nie jest dokladnie to co opisywales - sent by...
tylko Received from
ale jesli to on, to co moge zrobic w takim wypadku?
wlasnie problem polega na tym, ze nie mam zadnych pomyslow

qrde no czytaj dokladnie jakie sent by.. napisalem wyzej, skup sie teraz...


PRAWYM NA MAILU > WLASCIWOSCI > ZRODLO WIADOMOSCI

tutaj jest wszystko servery po kolei jakimi szedl mail od nadawcy do odbiorcy itd

no jak jest w Estonii to masz duzo mozliwosci, poleciec samolotem, pociagiem pojechac, zadzwonic na informacje po numer do niego itd nie bardzo rozumiem jakiego rozwiazania od nas sie spodziewasz ze ci podpowiemy na kogos w Estonii..